Deutschland
 

Layoff-Gefahren

So entlassen Sie risikofrei

Entlassungen sorgen oft für Wut, Angst und Unsicherheit. Das birgt potenziell zahlreiche Sicherheitsrisiken, die Sie unter allen Umständen vermeiden sollten.
Von 
CSO | 22. Mai 2023 05:48 Uhr
Wo der Layoff ist, ist die Wut (und damit zahlreiche Sicherheitsrisiken) meist nicht weit - es sei denn, Sie ergreifen Gegenmaßnahmen.
Wo der Layoff ist, ist die Wut (und damit zahlreiche Sicherheitsrisiken) meist nicht weit - es sei denn, Sie ergreifen Gegenmaßnahmen.
Foto: Phalexaviles - shutterstock.com

In den dunklen Ecken des Netzes finden sich diverse Horrorgeschichten über Admins, die ihre Unternehmen aus der eigenen IT-Umgebung verbannen, Mitarbeiter, die Unternehmensdaten verkaufen oder Security Engineers, die zu Innentätern werden. Die Motive hinter solchen Verhaltensweisen sind dabei vielfältig und reichen von monetärer Gier bis hin zu "simpler" Vergeltung. Die seit Ende 2022 nicht nur innerhalb der Technologiebranche grassierenden Entlassungswellen dürften den genannten Phänomenen weiter zuträglich sein.

Dabei beginnt interne Sabotage oft schon, bevor ein Layoff wirklich stattfindet: Schon das bloße Gerücht um einen bevorstehenden Stellenabbau kann Panik und Unsicherheit innerhalb der Belegschaft auslösen - was wiederum zum Nährboden für Untaten werden kann. "Drei Faktoren bestimmen darüber, ob ein Mitarbeiter, der das Unternehmen verlassen muss, zum 'Feind' wird, wenn er sich nicht richtig behandelt fühlt: Zugang, Motiv und Gelegenheit", konstatiert Tom van de Wiele, leitender Forscher bei der finnischen Security-Company WithSecure. Und Frank Price, CTO beim Sicherheitsanbieter CyberGRX, warnt: "In Großunternehmen braucht es nur einen Mitarbeiter, der unzureichend überprüft wurde oder sich schlecht behandelt fühlt, um enormen Schaden anzurichten."

Dass Entlassungen für Unternehmen zunehmend zu Markenschädigung, Reputationsverlust und finanziellen Einbußen führen, belegt auch der aktuelle "Insider Risk Investigations Report 2023" von DTEX Systems . Diesem zufolge:

  • sind die Fälle von Datendiebstahl durch die eigenen Mitarbeiter in der ersten Jahreshälfte 2022 (im Vergleich zu 2019) um 35 Prozent angestiegen.

  • entwenden rund 12 Prozent der entlassenen Mitarbeiter im Rahmen ihres Offboardings sensible Unternehmensdaten, beziehungsweise geistiges Eigentum.

Um solche (und weitere) Risiken zu minimieren, haben wir im Folgenden acht Maßnahmen für Sie zusammengestellt, die einen möglichst reibungslosen und sicheren Layoff- beziehungsweise Offboarding-Prozess begünstigen.

1. Empathie und Respekt zeigen

Aus Mitarbeitersicht ist eine Kündigung in der Regel ein emotionales Erlebnis. Entsprechend sollten Unternehmen und ihre Führungskräfte auch agieren und Transparenz, Ehrlichkeit und Integrität an den Tag legen, um Fairness zu gewährleisten. "Der Schmerz einer Entlassung lässt sich leichter bewältigen, wenn der Prozess von hoher Integrität geprägt ist und den betroffenen Mitarbeitern nicht nur Respekt, sondern auch eine ehrliche Begründung für die Entscheidung zuteil wird", meint Price.

Echte Unterstützung in Form von Karriereberatungs- oder -Coaching-Services anzubieten, könnte nach Meinung von Bob Burke, VP of Security and Infrastructure bei Beyond Identity, ebenfalls dazu beitragen, die Risiken von Entlassungen und die Wahrscheinlichkeit für (unbeabsichtigte oder beabsichtigte) Sicherheitsverletzungen zu minimieren. Dabei sollten Emphatie und Respekt allerdings allen Mitarbeitern zuteil werden, nicht nur den Entlassenen - wie van de Wiele unterstreicht: "Mitarbeiter zufriedenzustellen, indem man ihnen zuhört und in ihrem Sinne handelt, macht den Unterschied."

Eine Kultur des Respekts und der Empathie befähigt Unternehmen selbst in schwierigen Zeiten dazu, ein positives und unterstützendes Arbeitsumfeld zu schaffen, indem das Wohl aller Mitarbeiter im Fokus steht.

2. Collaboration forcieren

Ein Weg zu reibungsloseren Offboarding-Prozessen führt über die Zusammenarbeit von Personal-, Finanz- und IT-Abteilung. Dabei kommt dem CISO eine besonders wichtige Rolle zu, schließlich ist er verantwortlich für die Gesamtsicherheit seines Unternehmens. Technologieentscheider Price rät an dieser Stelle: "Nehmen Sie bei großen Layoffs die wichtigsten Security-Mitarbeiter in den inneren Kreis auf und stellen Sie sicher, einen Plan für sämtliche Maßnahmen zu haben." Das könne dazu beitragen, Situationen zu vermeiden, in denen verärgerte Entlassene noch vorhandene Zugänge zu Passwörtern, Software und Systemen dazu nutzen, Schaden anzurichten.

"Ohne die richtigen Zugriffskontrollen ist Privilege Escalation nur sehr schwer zu identifizieren", gibt Price darüber hinaus zu bedenken und fügt an: "Das lässt sich mit ausreichend Zeit, Ressourcen und entsprechend implementierten und angewendeten Protokollen gut handhaben - allerdings läuft dieser Prozess im Fall einer Massenentlassung oft deutlich chaotischer ab."

Vorausschauend zu handeln und strategisch zu planen, empfiehlt sich also.

3. Daten- und Code-Verlust verhindern

Mitarbeiter, die das Unternehmen verlassen und dabei Daten oder Quellcode "mitnehmen", sind aus Sicherheitsperspektive ein Albtraum. Zwar sehen die Angestellten sich selbst weniger als Sicherheitsrisiko - die eingangs erwähnte DTEX-Studie kommt allerdings zum Ergebnis, dass die Hälfte aller Mitarbeiter in allen Unternehmen vertrauliches, geistiges Eigentum aus Projekten, an denen sie beteiligt waren, für sich persönlich sichern (für den Fall, dass Sie das Unternehmen verlassen). Noch besorgniserregender: 12 Prozent dieser Mitarbeiter sichern auch Daten aus Projekten, mit denen sie nichts zu schaffen hatten.

"Unternehmen sollten sich darüber im Klaren sein, dass das eigentliche Risiko innerhalb der eigenen Firewall liegt", kommentiert Armaan Mahbod, Director of Security and Business Intelligence bei DTEX Systems, die Erkenntnisse und hält fest: "Die Data-Loss-Prevention-Zukunft ist nicht daten-, sondern menschenzentriert."

Um unnötige, beziehungsweise risikoreiche Datenbewegungen in- und außerhalb des Unternehmens zu begrenzen, empfiehlt es sich, Data-Loss-Aktivitäten aktiv zu monitoren und entsprechende Richtlinien zu implementieren. Um Datenexfiltration im Rahmen von Entlassungen so gut es geht zu verhindern, kommen etwa (insofern rechtlich zulässig) Device Lockdowns in Betracht, die verhindern, dass Firmendaten an persönliche Webmail-Accounts, Filesharing-Seiten oder USB-Gerätschaften übertragen werden.

Ein Ansatz, der auch dazu beitragen könnte, ein weiteres Risiko zu minimieren, das Amit Tailor, Director of System Engineering für UK Enterprise bei Palo Alto Networks, auf den Tisch bringt: "Verärgerte, böswillige Mitarbeiter könnten über Kollegen, die von ihrer Kündigung noch nichts wissen, versuchen, Zugang zu Daten zu erhalten. Das gilt sowohl für den digitalen als auch für den physischen Zugriff. Ehemalige Mitarbeiter sind mit den Örtlichkeiten und Zugangsmethoden zu physischen Einrichtungen vertraut."

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

4. Alte Accounts beobachten

Die Bedrohung kommt jedoch nicht nur von innen: Auch kriminelle Hacker greifen häufig Unternehmen an, die von Downsizing betroffen sind, wie Price weiß: "Cyberkriminelle haben es oft auf ruhende Konten, die noch nicht gesperrt wurden, abgesehen. Es ist deshalb essenziell, sämtliche Devices sorgfältig zu inventarisieren, zu überwachen und alte Accounts ordnungsgemäß zu archivieren. Dabei sollten alle Angriffsflächen vollständig abgedeckt sein."

Account- und Device-Hijacking-Gefahren lassen sich nach Meinung von System-Engineering-Experte Tailor zudem durch Technologie reduzieren: "Ein Single-Identity-System ermöglicht Unternehmen, den Zugriff auf ihre Ressourcen schnell, einfach und mit sofortiger Wirkung zu widerrufen und Konten zu sperren."

Bei Dimitri Stiliadis, CTO und Mitbegründer des Plattformanbieters Endor Labs, rennt er damit offene Türen ein: "Die vollständige Einführung von Single Sign-On über alle Services hinweg sollte oberste Priorität haben. Statische Anmeldedaten und privilegierter Zugriff, der sich nicht über SSO-Mechanismen widerrufen lässt, stellen wahrscheinlich das größte Risiko dar."

5. Schwachpunkte bewusstmachen

Wenn der Stress zuschlägt, häufen sich die Fehler - auch bei Mitarbeitern, die nicht entlassen wurden. Schließlich ist es nicht unwahrscheinlich, dass Teile der verbleibenden Belegschaft nach einem Layoff von Sorgen um die eigene Zukunft geplagt werden. "Unsicherheit und Stress können den Einzelnen davon abhalten, seine Arbeit so sorgfältig wie üblich zu erledigen. Das kann zu unbeabsichtigten Sicherheitslücken führen", unterstreicht Mahbod.

Es ist deshalb hilfreich, die eigenen Security-Schwachpunkte zu kennen und diese proaktiv anzugehen. Das funktioniert, indem Sie darüber nachdenken, wie diese zu Bedrohungen werden könnten. Was sonst noch gegen die beschriebenen Risiken hilft? Awareness, Weiterbildung und (andere) Richtlinien.

6. Business Continuity priorisieren

Sicherheitsentscheider sollten nicht nur in jedes Gespräch über Business Continuity einbezogen werden - sie sollten diese Konversationen leiten. "Diese Business-Continuity-Pläne sollten identifizierte Single Points of Failure und andere relevante Informationen enthalten, die vor Entlassungen überprüft werden müssen", erklärt CTO Price und beschwört ein bedrohliches Szenario herauf: "Wenn Personen unerwartet ausscheiden, können fehlende oder unzureichende Business-Continuity-Prozesse zu Datenverlust oder Systemausfällen führen."

7. Iterativ offboarden

Ein schrittweises Vorgehen in Sachen Offboarding kann sowohl den entlassenen Mitarbeitern als auch dem Unternehmen zugutekommen: Möglicherweise hat die Personalbteilung die besten Kompetenzen und Ressourcen, um die entlassenen Mitarbeiter dabei zu unterstützen, ihre Situation zu bewältigen. "Und CISO und Security-Team können sich darauf fokussieren, die Business Continuity zu wahren, alle Zugriffsrechte zu überprüfen und gegebenenfalls zu widerrufen", ergänzt Sicherheitsexperte Burke.

Ganz unabhängig davon, wie reibungslos oder auch nicht der schrittweise Offboarding-Prozess läuft: Bei einer (Massen-)Entlassung geht immer wichtiges Wissen beziehungsweise Knowhow verloren. Nach Überzeugung von Burke lässt sich das abmildern, indem Mitarbeiter nach Möglichkeit übergreifend geschult werden, um Redundanzen zu schaffen und Silobildung zu reduzieren: "Forden Sie Ihre Teams dazu auf, Dokumentationen zu aktualisieren und Runbooks zu Prozessen bereitzustellen. Das gewährleistet, dass wichtiges Wissen für alle leicht zugänglich ist."

8. Datenzugang diversifizieren

Egal ob System oder Geschäftsfunktion: Es ist keine gute Idee, sich auf eine einzelne Person zu verlassen. Palo-Alto-Mann Tailor empfiehlt stattdessen: "Wenn ein Mitarbeiter das Unternehmen verlässt, sollte es einen dedizierten Verantwortlichen geben, der Teil des Unternehmens bleibt und Zugang zu allen Informationen, Systemen und Daten hat." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Andrada Fiscutean schreibt für unsere US-Schwesterpublikation CSO Online.
Folgen: